Web

 

Oracles Application Server droht Scripting-Attacke

23.03.2007
Eine Schwachstelle in Oracles Application Server erlaubt Angreifern, beliebigen JavaScript-Code im Browser von Anwendern auszuführen.

Ein Anwender hatte die Lücke auf der Security-Plattform Neohapsis veröffentlicht. In einer genaueren Analyse führt der französische Sicherheitsdienstleister FrSIRT das Leck auf eine fehlerhafte Überprüfung von Benutzereingaben im Dynamic Monitoring Service (DMS) zurück. Die Lücke erlaubt, Anwendern - beispielsweise durch gefälschte E-Mails - Links zu schädlichem JavaScript-Code unterzuschieben, der von der Applikation als sicher eingestuft wird. Nutzer des Oracle-Portals sollten die Webanwendung nicht über fremde Links ansurfen, sondern nur über eigene Bookmarks darauf zugreifen. (sh)